云客户?
免费开始>
在MyJFrog中升级>
云的新功能>





概述

本页提供了JFrog Xray的发布说明,描述了每个版本发布时所做的主要修复和增强。

如果您需要Xray早期版本的发行说明,请参阅发布说明在x光中。x用户指南。

在你开始之前!

一定要阅读Xray 3.0发布说明请在安装或升级任何版本的Xray 3之前仔细检查。以了解JFrog平台中引入的新特性和功能。

下载

请按此下载最新的x光版本

安装程序名称更改!

从Xray 3.0开始,安装程序的命名约定被更改为包含安装程序类型。
下表列出了官方安装程序名称。

安装程序类型 安装程序的语法
Linux存档 jfrog-xray——<版本> -linux.tar.gz
组成 jfrog-xray——<版本> -compose.tar.gz
RPM或Debian jfrog-xray——<版本>。< rpm | deb >

以前的版本

以前版本的JFrog Xray可以在以前的版本页面。

安装与升级

安装说明请参考安装x光

要从当前安装升级到此版本,请参考升级x光


3.65 x光

x光3.65.2

上映日期:2022年1月17日

突出了

根据特定漏洞生成违规

您现在可以创建一个安全策略,该策略具有为特定漏洞(cve)生成违规的能力。有关更多信息,请参见创建x射线策略和规则.此特性也通过REST api得到支持,如POLICIES-v2POLICIES-v1

功能增强

Jira集成增强

Xray Jira集成功能已增强,以支持手动创建Jira罚单从Xray的UI的任何违规。该功能还包括以下增强功能:

  • 在所有安全违规的旁边显示一个图标,表示有一个Jira罚单附加在上面。
  • 你现在可以很容易地从Xray的用户界面访问Jira门票。
  • 增强了Jira门票结构,包括以下内容:
    • 操作风险
    • 违反许可证
    • 安全性(常规漏洞)
    • 安全性(突出的漏洞)

解决问题

JIRA 描述

x光- 14210

修复了一个问题,即x射线ID没有显示在违规详细信息(右窗格)在扫描列表页面。

x光- 12622

x光- 12538

修复了从Xray Data选项卡页面导航到名称中包含'/'的组件可能导致404错误的问题。
x光- 10749 Jira集成现在支持为通用包创建Jira票据。

x光- 11989

修复了一个问题在“扫描列表”页面的“构建”选项卡中,当输入Artifactory中不存在的构建时,会发出500错误。从Artifactory中删除的构建现在将从Scan lists Builds选项卡中省略。已删除且未省略的构建不会导致此错误。



3.64 x光

x光3.64.4

上映日期:2022年1月11日

JIRA 描述

x光- 14448

修正了Jira集成功能中的错误导致违规分析服务阻塞的问题。



x光3.64.3

上映日期:2022年1月10日

功能增强

这个版本包括几个与ui相关的增强和改进。

解决问题

JIRA 描述

x光- 13789

你现在可以从x射线的后裔和祖先标签中创建一个自定义问题。
x光- 13318 修复了影响分析中涉及大量组件时出现的性能问题。

3.63 x光

x光3.63.2

上映日期:2022年12月29日

解决问题

JIRA 描述

x光- 13755

修复了Docker索引失败后索引挂起的问题。

x光- 13340

修复了一个问题,即在某些情况下,Xray在更新包信息时崩溃,并且DB无响应(主要是Azure DB)导致空指针异常。


x光- 13045

修复了查看NuGet包失败的HTTP 500错误。

x光- 12777

改进了与创建具有无效名称的策略相关的错误消息传递。

x光- 12675

修复了操作风险违规的获取违规REST API细节不包括操作风险信息的问题。
x光- 12372 修正了当在策略页面更改屏幕分辨率时,某些策略在列表中不可见的问题。

x光- 13762

修复了x射线支持使用的调试和分析相关端点无法提供所需调试信息的问题。
x光- 13436 修正了恶意包屏幕标题从漏洞到恶意包。
x光- 11355 修正了在某些情况下随需应变扫描的后代树显示过时组件的问题。

3.62 x光

x光3.62.4

上映日期:2022年12月6日

功能增强

改进了扫描列表页面的用户体验

扫描列表中的祖先/后代屏幕增加了两个新功能:

  • 能够在一次单击中展开或折叠树。
  • 能够在树的所有层次中搜索。

解决问题

JIRA 描述

x光- 12655

修复了一个问题,即当使用x射线搜索栏时,根据严重性选择过滤器时搜索功能不能正常工作。

x光- 11173

修正了删除名字字段中带有特殊字符的Jira集成失败的问题。

x光- 10765

修复了当扫描的图形包含特殊字符时,x射线按需扫描无法开始扫描的问题,也会导致x射线服务器内部错误。

x光- 13311

修复了使用x射线REST API和CLI命令时使用令牌生成的身份验证问题/ api /安全/令牌人工REST AP

x光- 13045

修复了查看NuGet包失败的HTTP 500错误。



3.61 x光

x光3.61.5

上映日期:2022年11月20日

功能增强

红帽SQLite支持

Xray现在支持新的红帽格式SQLite,用于存储RPM操作系统包信息。

x射线OCI容器扫描增强

按需扫描使用JFrog CLI创建OCI图像压缩包摩根富林明扫描命令。使用Kaniko和Podman构建的Docker和OCI映像包现在可以使用JFrog CLI扫描摩根富林明扫描命令。

安全策略增强

安全策略中增加了对恶意包生成违规的新条件。

解决问题

JIRA 描述

x光- 10364

修复了使用。编译GO模块的版本和漏洞- s未检测到标志。

x光- 13045

修复了查看NuGet包失败的HTTP 500错误。


x光- 13311

修复了使用x射线REST API和CLI命令时使用令牌生成的身份验证问题/ api /安全/令牌人工REST API。

解决漏洞

此版本包含修复安全漏洞


3.60 x光

x光3.60.3

上映日期:2022年12月1日

JIRA 描述

x光- 13045

修复了查看NuGet包失败的HTTP 500错误。


x光- 13311

修复了使用x射线REST API和CLI命令时使用令牌生成的身份验证问题/ api /安全/令牌人工REST API。

x光3.60.2

上映日期:2022年11月14日

功能增强

增强报表忽略规则信息

忽略规则状态和注释现在被添加到导出的报告中。如果存在多个被忽略或处于活动状态的策略,则在导出的报告中作为单独的行进行报告。

解决问题

JIRA 描述

x光- 12795

修正了在某些情况下,对带有特殊字符的特定工件的导出报告操作失败的问题。

x光- 12668

x光- 12621

修正了cve会出现在恶意软件包界面的问题。

x光- 11721

修正了在观察违规页面上出现400错误的问题

x光- 10598

修复了索引资源和报告生成设置中的include/exclude模式与Artifactory2022世界杯阿根廷预选赛赛程设置对齐(不需要前导斜杠)。为了向后兼容,Xray也会忽略前面的斜杠。

x光- 5553

修正了一个问题,即在某些情况下,x射线ID丢失时使用导出组件详细信息API。

x光- 12832

修复了一旦达到最大连接限制,DB连接保持打开状态导致失败的问题。

x光- 9271

修复了一个问题,即政策REST api返回所有严重性的最小严重性标准为“未知”而不是“所有严重性”。

x光- 10273

修复了当使用带有Block unscanning参数的柯南远程仓库时,x射线无法扫描仓库中的工件的问题。

解决漏洞

此版本包含修复安全漏洞


3.59 x光

x光3.59.9

上映日期:2022年1月10日

JIRA 描述

x光- 14448

修正了Jira集成功能中的错误导致违规分析服务阻塞的问题。



x光3.59.8

上映日期:2022年11月17日

JIRA 描述

x光- 13045

修复了查看NuGet包失败的HTTP 500错误。


x光- 13311

修复了使用x射线REST API和CLI命令时使用令牌生成的身份验证问题/ api /安全/令牌人工REST API。

x光3.59.7

上映日期:2022年10月31日

  • 修复了一个与检测红帽包有关的问题。

x光3.59.4

上映日期:2022年10月12日

突出了

JFrog高级安全(仅限云)

宣布JFrog高级安全包!新的安全包可以与Cloud Enterprise X和Enterprise+订阅一起购买,包含以下功能:

  • 漏洞上下文分析一个行业第一;扫描容器和包,优先考虑是否OSS漏洞实际上是可利用的。
  • 公开的秘密:检测存储在Artifactory中的任何容器中暴露的任何秘密,以防止内部令牌或凭据的意外泄漏。
  • 不安全地使用库和服务:检测公共OSS库和服务是否被安全使用和配置,以便容器化应用程序可以在默认情况下轻松加固。
  • Infrastructure-as-Code (IAC):扫描存储在Artifactory中的IaC文件,以便及早发现云和基础设施配置错误。x射线扫描AWS、Azure和GCP云服务的Terraform状态。
OCI图像支持

Xray现在支持扫描部署到Artifactory Docker存储库的OCI映像。

Conda软件包支持

Xray现在可以扫描包含python包及其依赖的Conda包,以查找安全漏洞、许可证合规性和操作风险。

有关Conda扫描特性的其他信息

Conda是一个通用的软件包、依赖项和环境管理开源项目,它是独立于语言的。Conda通常用于可以在各种平台上运行而没有包冲突风险的应用程序。

虽然Conda是独立于语言的,但Xray对Conda的支持主要用于扫描捆绑在Conda包中的Python包。请注意,UI将为Conda包中的包显示零安全漏洞支持。可以找到支持的包类型的更新列表在这里

功能增强

按需扫描增强

当JFrog CLI工具执行按需扫描,它首先从Xray服务器下载Xray可执行文件。在此发布之前,这个可执行文件的原生M1版本是不可用的。对于M1机器上的按需扫描,必须使用Intel X64版本的可执行文件,并且需要Rosseta2仿真。在这个版本中,可以使用原生M1版本,并且不再需要Rosseta2。

扩展对其他通用归档类型/格式的支持

在Xray中增加了对额外压缩和一般存档格式和扩展名(.rar, .tbz2, tar)的支持。bz2,获取焦油。Lzma,。tlz,。tar。xz .txz)。

解决问题

JIRA 描述

x光- 12288

修正了在某些情况下,x射线issue ID会被显示而不是CVE编号的问题。

x光- 12258

修复了一个问题,即有时Maven组件匹配到一个不正确的版本。

x光- 12216

修复了一个问题,即当构建在构建名称中包含空格时,在扫描列表构建选项卡中发出500错误。

x光- 10984

修正了在违规页面上显示重复违规的问题。

x光- 12079

修复了当输入超过252个字符时,创建漏洞忽略规则对话框没有明确字符限制的问题。

x光- 10981

修复了一个问题,即配置参数的indexer-app环境变量的值,如indexer.compress.RationLimitindexer.compress.MaxEntities在某些环境中没有反映出来。

x光- 10980

增加了对通过基本认证向Xray发送请求的支持,而密码是一个访问令牌。

x光- 9355

修正了一个问题,manifest.json未索引通用存储库中的文件。

解决漏洞

此版本包含修复安全漏洞


3.57 x光

x光3.57.6

上映日期:2022年9月14日

解决问题

JIRA 描述

x光- 12207

修正了忽略规则创建失败的问题,因为组件名称与工件名称相同。

x光- 12022

修正了x射线扫描列表在导航到特定存储库时导致错误500的问题。

x光- 12197

修正了在某些情况下,x射线扫描返回错误的漏洞总数的问题。
x光- 11850 修复了RabbitMQ消费者无法从RabbitMQ连接问题中正常恢复的问题。

x光- 11164

修复了一个问题,即在某些情况下,扫描Debian软件包导致假阳性漏洞匹配。

解决漏洞

此版本包含修复安全漏洞


3.55 x光

x光3.55.2

上映日期:2022年8月17日

突出了

扫描列表REST API支持

为扫描列表特性引入REST api有关更多信息,请参见扫描REST接口

功能增强

忽略规则改进

当忽略规则过期或被删除时,在某些情况下,它需要手动重新扫描以重新出现违规。如果受忽略规则影响的工件数量小于50,x射线现在将自动重新扫描违规。这个数目是有限的,以避免任何性能影响。对于影响大量工件的过期忽略规则,可能仍然需要完全重新扫描。

改进的影响分析性能

介绍了以下性能改进:

  • 当发布新的漏洞或更新其数据时,将分析对工件的影响并更新结果。当存在许多工件和组件时,这可能会导致性能问题。为避免性能问题,影响分析程序现只适用于大型中小型企业(JFrog安全CVE研究与充实),并将不再适用于所有cve。
  • 当包的许可证在Xray的DB中更新时,更新后的新信息仅反映在扫描的工件上(或重新扫描)。

解决问题

JIRA 描述

x光- 11799

修复了由于package.json中使用了过时的许可信息格式而导致Xray无法解析NPM包的许可信息的问题。

x光- 12041

修复了一个基于工件的条件在UI中忽略规则弹出窗口中缺失的问题。

x光- 12024

修正了在扫描列表构建选项卡中没有显示构建的违规和漏洞的问题。

x光- 6992

修复了工件/包屏幕不正确地聚合用户问题的问题。

解决漏洞

此版本包含修复安全漏洞


3.54 x光

x光3.54.5

上映日期:2022年8月4日

突出了
扫描列表

扫描列表页面将x射线扫描的详细信息合并到一个屏幕中,使您能够查看存储库、构建、发布包和包的详细信息。对于这些项目中的每一个,您都可以进一步深入查看违反政策,软件c分量,s安全问题。有关更多信息,请参见x射线扫描列表

“扫描列表”界面为Artifactory版本7.39.4及以上版本提供。


解决问题

JIRA 描述
x光- 11489 改进的PHP编写器检测。

x光- 11475

修正了x射线数据库维护真空作业不能正常工作的问题。

x光- 11438

修正了在x射线选项卡中过滤忽略违规时组件列显示错误值的问题。

x光- 10768

修复了x射线显示旧的许可证参考url的问题。固定显示更新的url。

x光- 10677

修正了升级后由于模式名称不正确导致数据迁移失败的问题。

x光- 10089

修复了一个问题,即当创建一个忽略规则时,如果违规在不同的手表中多次出现,则需要重新扫描。

x光- 10052

修复了一个问题,即,按需扫描ID URL重定向回首页后10次扫描。

x光- 9354

修正了一个问题,即观看违规不可见的用户读取权限。用户现在可以看到他们具有读取权限的工件上的Watch violation。
此修复在Artifactory版本7.42.0及以上版本中可用。

x光- 8286

应用程序日志现在将以JSON格式记录到标准输出中。要启用此功能,请设置以下配置shared.logging.enableJsonConsoleLogAppendersx射线系统

x光- 11698

增加了观察违规页面的最大页数和问题,最多可显示1000页/ 50000个问题。

x光- 11687

修正了x射线标签对于多次使用不同名称部署的工件不可用的问题。

x光- 11682

修正了x射线自定义集成中的回归。

x光- 11681

修正了由于时区问题而无法触发影响分析的问题。

x光- 11600

修复了一个问题,即x射线标签没有响应时扫描Go工件。

x光- 11080

修复了一个问题,即扫描构建REST API返回的结果包含漏洞严重程度结果的差异。

x光- 10602

修复了扫描构建REST API为不存在的构建号返回待处理状态的问题。

x光- 8078

增加了对来自受信任目录(除了系统目录)的CA证书的支持,以允许Xray和internet之间的自签名代理。

解决漏洞

此版本包含修复安全漏洞


3.52 x光

x光3.52.4

上映日期:2022年7月10日

解决问题

JIRA 描述

x光- 9897

修复了一个问题,即工件的总结如果在用户权限冲突的其他Docker存储库中存在相同的Docker映像(相同的校验和),REST API不会返回详细信息。

x光- 9045

从x射线设置页面删除了队列消息最大TTL设置,因为它被更改为基于重试的功能。

x光- 8683

修复了一个问题,即扫描构建当构建扫描失败时,REST API正在等待最大超时时间。
x光- 11489 改进的PHP编写器检测。

x光- 11221

修正了当对现有内容应用忽略规则时,违规状态显示为活动而不是忽略的问题。

3.51 x光

x光3.51.3

上映日期:2022年6月22日

突出了

RabbitMQ升级

RabbitMQ已经升级到3.9.15版本。

解决问题

  1. 改进了PHP编写器检测。

x光3.51.0

上映日期:2022年6月9日

功能增强

增强了Issue Events REST API

实现了一个新的V2的获取Issue事件具有获取漏洞详细信息能力的REST API。

获取Issue事件V1 REST API已弃用。

解决问题

JIRA 描述

x光- 9911

修正了重新扫描带有空校验和的文件时分析内存有时崩溃的问题。

x光- 10116

修正了在日志错误中没有显示权限错误的问题。

3.50 x光

本节包括所有的Xray 3.50版本。

x光3.50.3

上映日期:2022年6月2日

功能和增强

RabbitMQ升级

RabbitMQ已经升级到3.9.15版本。

解决问题

此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞

JIRA 描述

x光- 10512

增加操作风险数据发布包详细信息REST API。

x光- 7936

修正了导出安全漏洞没有按严重程度排序的问题。

3.49 x光

上映日期:2022年5月18日

功能增强

新的按需扫描REST API

引入了一个新的REST API,允许您删除使用JFrog CLI按需扫描结果。有关更多信息,请参见删除按需扫描结果

操作风险报告

现在可以生成操作风险作为x射线报告类型之一。此外,您还可以在“违规”报告类型中查看操作风险违规。了解更多信息。看到x光报告

此功能在Artifactory版本7.40中可用。X及以上。

解决问题

此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞

JIRA 描述

x光- 10940

x光- 10803

修正了在一些边缘情况下过多的日志记录。

x光- 10118

修复了npm在使用以下格式定义许可证时打包自定义许可证的问题"license": "SEE license IN "内部package.json

x光- 10033

修正了Jira集成状态在使用OAuth2认证后一段时间变为非活动状态的问题。

x光- 9715

修复了一个问题,即w当Artifactory中的Docker远程存储库在存储库名称中包含cache时,Xray无法索引实际Docker缓存文件夹中的图像。

x光- 9403

增加了按字母顺序排序祖先和后代标签的能力。

3.48 x光

本节包括所有的Xray 3.48版本。

x光3.48.2

上映日期:2022年5月8日

解决问题

此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞

JIRA 描述

x光- 10704

修复了一个问题,即当一个具有大量工件的存储库被标记为索引时,索引资源页面的加载时间比平时长。2022世界杯阿根廷预选赛赛程

x光- 10669

Xray现在可以处理从Docker镜像中删除已安装的Python包但仍然留下一些残留文件的情况。

x光- 8502

x射线ID现在被添加到webhook数据中。这有助于还没有CVE的检测。

x光- 10016

修正了在某些情况下Jira票(Jira集成)被创建为被忽略的违规行为无视规则

x光- 10782

固定一般的x射线升级问题在一些边缘情况下。

3.47 x光

本节包括所有的Xray 3.47版本。

x光3.47.3

上映日期:2022年4月20日

解决问题

JIRA 描述

x光- 10672

修正了在某些情况下,漏洞报告中缺少漏洞细节的问题。

x光- 9057

修复了一个问题,即得到违反REST API需要Manage Watches权限。这个REST API现在只需要读取权限。

x光- 9056

更新了得到政策具有新权限角色的REST API。Artifactory版本7.37提供了新的权限角色。X及以上。

x光- 7959

修复了一个问题,即在项目范围,在全局级别配置索引构建不适用于项目构建。

3.46 x光

上映日期:2022年4月7日

突出了

操作风险

Xray现在可以提供有关使用开源软件组件的操作风险的信息。这些风险包括在项目中使用过时版本或不活跃的开源软件组件的风险。在此版本的当前版本中,我们将为Maven和npm包提供操作风险信息。更多的包类型将在未来的版本中添加。有关更多信息,请参见操作风险

此功能在Artifactory版本7.37中可用。X及以上。

解决问题

JIRA 描述

x光- 10586

修正了一个问题,即在某些情况下,扫描构建有一个缓慢的性能。

x光- 10378

修正了在某些情况下,当访问带有特殊字符的特定工件的Xray选项卡时,Xray返回授权错误的问题。

x光- 10252

修复了一个由于npm注册表的重大变更导致Xray无法执行npm审计的问题。

x光- 10028

修复了项目管理员无法访问索引资源配置的问题。2022世界杯阿根廷预选赛赛程

x光- 9995

修复了一个问题,即在某些情况下,MongoDB迁移失败,由于许可证的长名称。

x光- 9683

修复了一个问题,即当在rpm文件上检测到漏洞而不是在其依赖项上检测到漏洞时,受感染的组件和固定版本返回空数据。

x光- 9674

修复了一个问题,即项目构建的监视电子邮件通知中共享的构建URL无法访问。

x光- 9642

修正了Xray Jira集成无法显示超过30个项目的问题。

x光- 8794

修复了npm归档文件中的jar文件被归类为npm包类型的问题。

x光- 8464

修复了在某些情况下,如果构建扫描包含先前扫描的Docker映像,则构建扫描失败的问题。

x光- 8116

修正了当几个组件共享相同校验和时匹配的组件ID不正确的问题。
x光- 9622 修正了x射线无法解析的问题package.json使用旧的license格式。
x光- 9824 修复了向日志中写入过多警告消息并填充持久重试队列的问题。

x光- 9839

通过从日志系统中删除ping请求,减少了磁盘负载。

3.45 x光

本节包括所有的Xray 3.45版本。

x光3.45.2

上映日期:2022年3月31日

解决问题

  1. 修正了一个问题,即在某些情况下,扫描构建有一个缓慢的性能。

x光3.45.1

上映时间:2022年3月21日

功能增强

Jira集成OAuth2范围支持

增加了对Atlassian推出的新的OAuth2作用域的支持。已经连接的OAuth2应用程序可以在Atlassian开发者仪表板中升级和重新配置新的作用域权限,如创建Jira连接配置文件

增强了导出组件详细信息REST API

的新选项output_format字段中导出组件详细信息API.命名新选项json_full它返回一个JSON文件。

解决问题

JIRA 描述

x光- 10149


修正了一个问题,即在某些情况下,当工件的名称包含一些特定的特殊字符时,具有读取权限的用户无法在Xray选项卡的树视图中查看工件数据。

x光- 10098

修复了x射线按需扫描在不包含libc的裸Alpine容器上不能正常工作的问题。

x光- 9790

修复了一个问题,即如果许可证名称包含“,”字符,则会检测到多个许可证。

x光- 7161

修复了一个问题,即当存储库从索引资源配置中删除或删除时,它不会从监视资源中删除。2022世界杯阿根廷预选赛赛程

x光- 9452

修复了一个问题,即w当导航到x射线选项卡并且用户具有具有特定包含模式的权限目标时,该用户无法查看x射线数据并发出权限错误。

x光- 10163

修正了x射线数据清理作业运行时崩溃的问题。

3.44 x光

本节包括所有的Xray 3.44版本。

x光3.44.3

上映日期:2022年3月17日

解决问题

  1. 修复了一个由于npm注册表的重大变更导致Xray无法执行npm审计的问题。

x光3.44.2

上映日期:2022年3月13日

解决问题

  1. 修正了一个问题,即在某些情况下,当工件的名称包含一些特定的特殊字符时,具有读取权限的用户无法在Xray选项卡的树视图中查看工件数据。

x光3.44.1

上映日期:2022年3月6日

突出了

此版本中的新UI特性在Artifactory版本7.36中可用。x及以上为Cloud。自托管将很快可用。

物理路径

x射线现在显示工件中脆弱组件的物理路径(位置)。该信息显示在冲击路径图在CVE内;导出格式x光扫描,在违规和漏洞报告。

此特性也通过REST API得到支持;建设总结工件的总结

排除没有可用的固定版本的违规

在Xray Policies中引入一项新功能,您可以在其中设置策略规则,以便不为不包含固定版本的安全问题生成违规。这个新功能将帮助您改进安全性工作流程,使您能够排除策略级别的违规行为,因为它不会使不包含固定版本的问题的构建失败。只要有固定的版本可用,就会生成冲突。有关更多信息,请参见使用策略规则触发违规

也支持该特性创建政策REST API。

解决问题

JIRA 描述

x光- 9718

修复了Webhook有效载荷包含严重问题时被标记为高而不是严重的问题。

x光- 9587

改进了x射线报告生成的性能。

x光- 9563

修正了一个问题,即在某些情况下,x射线不显示issue_id工件摘要REST API中的问题。

x光- 8208

修复了一个问题,即以CSV格式导出的数据包含没有CVE的漏洞,不包括这些漏洞的CVSS v2评分数据。

x光- 1084

修正了Xray无法提取Spring Boot打包的JAR文件的问题。

3.43 x光

本节包括所有的Xray 3.43版本。

x光3.43.4

上映日期:2022年3月18日

解决问题

  1. 修复了一个由于npm注册表的重大变更导致Xray无法执行npm审计的问题。

x光3.43.1

上映日期:2022年2月21日

解决问题

JIRA 描述

x光- 9722


修复了一个问题,即在特定配置的极端情况下,Artifactory将返回404错误:未找到刚刚部署的新工件。修复后的代码将重试下载工件。

x光- 9619

修正了报表生成在处理过程中停止,但仍被标记为已完成的问题。

x光- 9581

修正了按ID排序Watch违规表导致500服务器错误的问题。

x光- 7261

修复了一个问题,即力重建索引REST API缺少项目引用,只能重新索引全局范围的构建。一个项目键引用,允许对来自特定项目的构建进行重新索引。

x光- 9815

修正了在x射线HA模式下,在某些情况下,块下载不能按预期工作的问题。



3.42 x光

本节包括所有的Xray 3.42版本。

x光3.42.3

上映日期:2022年2月13日

功能增强

CVE浓缩REST API支持

JFrog安全CVE研究与充实特性现在在以下REST api中支持:

增加了以下参数:

  • JFrog研究严重性
  • 摘要标记文本
  • 详细描述降价文本
  • JFrog Research严重性分解(原因列表)
  • 补救(缓解选项列表)

解决问题

此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞

JIRA 描述

x光- 9649

修正了当生成违规报告时,即使没有配置Jira集成,它也包含关于丢失Jira票据的错误信息的问题。

x光- 8858

改进了扫描包含没有扩展名的文件或具有可执行扩展名的文件的归档的性能exe

3.41 x光

本节包括所有的Xray 3.41版本。

x光3.41.4

上映日期:2022年1月26日

此版本中的新UI特性在Artifactory版本7.33中可用。X及以上。

突出了

x射线数据保留

通过选择哪些工件是重要的扫描和保留其x射线数据的时间来改善x射线性能和数据使用。要了解更多信息,请参见索引x射线资源2022世界杯阿根廷预选赛赛程

功能增强

在XRAY api中增加了XRAY配置的导出和导入
  • 出口API:
    • 添加了使用'ticketing_integrations'属性导出票务(jira)集成的功能。
    • 添加了使用'export_all'属性导出所有配置的功能。
  • 进口API:
    • 添加了使用'async'属性异步导入配置的功能。

要了解更多信息,请参见进出口

解决问题

此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞

JIRA 描述

x光- 9678

修复了一个问题,即在大型环境中对新的和现有的工件进行索引很慢,并且在非常大的持久化和/或持久化现有队列中表现出来。

x光- 9630

修复了从Xray到Artifactory的内部AQL可能导致Artifactory数据库严重负载的问题。当x射线扫描构建时触发AQL。
x光- 9603 修复了JCLI索引GO二进制文件失败的问题。
x光- 9456 修正了一个问题,即在某些情况下,邮政炸弹保护错误没有正确处理,导致不必要的重试。

3.40 x光

本节包括所有的Xray 3.40版本。

x光3.40.4

上映日期:2022年1月18日

解决问题

  1. 修复了一个问题,即从Xray到Artifactory的内部AQL可能会导致Artifactory数据库的严重负载。当x射线扫描构建时触发AQL。

x光3.40.3

上映日期:2022年1月13日

此版本中的新UI特性在Artifactory版本7.31中可用。X及以上。

突出了

生成软件物料清单(SBOM)报告

Xray现在可以生成SPDX和CycloneDX标准格式的SBOM报告。这将帮助DevSecOps团队识别正在使用的软件组件、它们的依赖关系以及相关的许可风险(如果有的话)。要了解更多信息,请参见x射线SBOM报告

功能增强

按需二进制扫描Docker支持

x射线的按需二进制扫描使用JFrog CLI现在支持扫描Docker映像。您可以对Docker映像进行临时扫描,而不必先将其上传到Artifactory。
此功能需要JFrog CLI版本2.11.0。

按需二进制扫描新的用户界面

现在,您可以查看使用JFrog CLI运行的按需二进制扫描,它是JFrog平台中Xray UI的一部分。这使您能够在x射线中查看和执行扫描相关的操作。有关更多信息,请参见按需二进制扫描

解决问题

JIRA 描述

x光- 8611

修复了一个问题,即x射线无法检测软件包版本时,它包含@字符作为前缀和后缀。

x光- 8271

修复了一个问题,即Docker映像在另一个共享公共层的映像上触发强制重新索引后缺少安全结果。

x光- 8113

修复了一个自定义许可证被错误地列在两个不同的工件下的问题,尽管它只附加到一个工件上。

x光- 8108

修复了x射线扫描包含损坏文件的Docker映像失败的问题。

x光- 9259

修正了当在同一时间在不同路径上扫描同一工件时,其中一些工件被标记为未扫描的问题。
在升级到这个Xray版本之后,还可以通过运行现在扫描REST API。

x光- 5078

修正了在某些情况下,Xray在许可证选项卡中没有显示正确的许可证数量的问题。

x光- 8800

改进了日志错误消息,以便在提取存档时提供更多信息已达到总字节限制发出错误消息。增加了以下值:
  • 比率极限
  • 大小限制
  • 计算出的总尺寸

x光- 8918

提高了扫描构建V2添加一个选项来检索所有构建的漏洞新include_vulnerabilities查询参数。

3.38 x光

本节包括所有的Xray 3.38版本。

x光3.38.6

上映日期:2022年1月18日

解决问题

  1. 修复了一个问题,即从Xray到Artifactory的内部AQL可能会导致Artifactory数据库的严重负载。当x射线扫描构建时触发AQL。

x光3.38.5

上映时间:2021年12月28日

解决问题

JIRA 描述

x光- 8779

x光- 9241

你现在可以使用按需迁移REST API修复组件的多个版本与相同校验和相关联的错误分类问题。在按需迁移REST API中引入了一个新的重新触发标志,它允许您在必要时多次重新触发此修复。

x光- 9381

修复了在构建索引时,索引操作包含与构建相关的文件具有相同校验和的不相关文件的问题,从而导致构建索引缓慢。

x光3.38.2

上映时间:2021年12月12日

解决问题

此版本包含已解决的安全问题,有关详细信息,请参阅修复安全漏洞

JIRA 描述

x光- 8819

修复了一个问题,即力重建索引REST API没有正确填充Artifactory ID参数。

x光- 8725

修正了x射线自定义集成无法检索组件信息的问题。

x光- 8698

改进了每日DB同步,现在在系统上产生的负载显著减少,并且可以在更短的时间内完成。

x光- 8201

修复了一个问题,即扫描包含未上传到Artifactory的依赖的构建,有时会导致这些依赖的x射线扫描结果不正确,当它们在稍后阶段上传到Artifactory时。

x光- 6791

修复了一个问题,即扫描存储库中包含未标记为索引的构件的构建时,有时会返回不正确的结果。

3.37 x光

本节包括所有的Xray 3.37版本。

x光3.37.2

上映时间:2021年11月29日

解决问题

JIRA 描述

x光- 8991

修正了一个问题,即在最新的JFrog CLI版本中,JFrog CLI依赖扫描被标记为按需二进制扫描,并发出500错误。

x光- 8838

修复了由构建扫描API返回的x射线URL对项目不正确的问题。

x光- 7274

修复了在JFrog平台中启用匿名访问时发出403错误的问题匿名用户被从Xray中删除了。

x光3.37.1

上映时间:2021年11月24日

功能增强

Jira集成动态标签和自定义字段

现在,您可以在Jira问题中使用特定于x射线的实体作为动态标签和自定义字段。有关更多信息,请参见创建Jira配置文件

扫描构建REST API V2

添加扫描构建REST API V2

解决问题

JIRA 描述

x光- 8680

修正了在某些情况下,当工件的大小未知时x射线扫描失败的问题。

x光- 8455

修复了扫描构建REST API在包含项目密钥的新未扫描构建上失败的问题。

x光- 8308

修正了x射线显示一个已经存在的文件的错误日志信息级别的问题。

x光- 8816

修复了当项目密钥超过6个字符时无法创建x射线策略和监视的问题。

3.36 x光

本节包括所有的Xray 3.36版本。

x光3.36.2

上映时间:2021年11月15日

解决问题

JIRA 描述

x光- 8457

修复了一个问题,即当构建名称和版本相同时,Xray将来自不同项目的工件包含在项目中。

x光- 8115

修复了一个问题,即x射线检测到一个EPL-1.0许可证,而只有一个EPL-2.0许可证存在。

x光- 8006

修复了对预发布版和补丁版本的Alpine软件包版本检测。

x光- 7799

修复了获取Issue事件REST API返回版本范围错误的组件。

x光- 8787

修正了JFrog安全研究团队在没有任何参考的情况下,不显示包含额外CVE详细信息的漏洞详细信息的问题。
x光- 8200 修复了使用Helm Charts安装Xray时离线DB同步不能正常工作的问题。

x光- 8220

修正了在x射线违规选项卡中显示重复策略的问题。

x光- 7739

修正了在某些情况下,当尝试使用完整的URL从Artifactory下载构建工件时,扫描构建不能正常工作的问题。

x光- 8132

修正了在某些情况下,由于重试机制,扫描在扫描等待状态中停留了一段时间的问题。

3.35 x光

上映时间:2021年10月27日

此版本中的新UI特性在Artifactory版本7.28中可用。X及以上。

突出了

扫描状态

现在,您可以在Artifactory中的Packages、Builds和Release Bundle2022世界杯阿根廷预选赛赛程s的Xray data选项卡中获取有关资源扫描状态的信息。

现在扫描REST API

介绍新产品现在扫描REST API,使您能够按需索引资源2022世界杯阿根廷预选赛赛程,即使是那些没有标记为索引的资源。

功能增强

Jira集成增强

提高了Jira集成功能如下:

  • 更新了JIRA票证信息,具有新的结构和额外的字段。
  • 现在默认情况下启用了消除重复Jira票据的选项。注意,这不会改变现有的Jira配置文件配置。
  • 现在,选择Jira配置文件将自动启用Watch中的该特性。

解决问题

JIRA 描述

x光- 8390

修复了当构建在项目中时,扫描结果没有显示构建中的违规行为的问题。

x光- 8327

修复了一个问题,即在UI中忽略违规选项不会出现在项目管理用户的所有违规。

x光- 7616

修正了一个问题,即使用导出数据选项导出x射线数据有一个缓慢的性能。

x光- 8498

修复了在Windows环境下使用绝对路径时,使用按需二进制扫描功能扫描工件不工作的问题。

3.34 x光

本节包括所有的Xray 3.34版本。

x光3.34.1

上映时间:2021年10月14日

突出了

新的REST API扫描状态

您现在可以使用new工具检查包、构建和发布包的扫描状态扫描状态REST API

解决问题

此版本包含已解决的漏洞。要了解更多信息,点击这里

JIRA 描述

x光- 8413

修复了在SaaS中根据前缀而不是后缀进行匹配时漏洞检测不准确的问题。

x光- 8399

修复了不支持在RabbitMQ密码中使用特殊字符的问题。

x光- 7986

修正了一个问题,即违规和漏洞报告没有为CVSS V3得分的违规生成严重违规数据。

x光- 7624

修复了一个问题,即创建一个手表失败,当手表包含多个规则的策略都与阻止下载动作。

x光- 8260

修正了当security选项卡中存在许多安全违规且列表跨越1页时,列表排序不正确的问题,有时会导致列表中重复或遗漏安全违规。

x光- 8288

出于安全原因,Xray现在不再允许用户类型为匿名的身份验证。


3.33 x光

本节包括所有的Xray 3.33版本。

x光3.33.5

上映时间:2021年10月6日

解决问题

  1. 修正了一个额外的工人被启动的问题,有时会导致x射线资源耗尽。

x光3.33.4

上映时间:2021年10月3日

解决问题

JIRA 描述

x光- 8431

修正了非管理员用户无法查看或编辑手表的问题。

x光- 7650

修正了在某些情况下扫描特定存档文件失败的问题。

x光3.33.3

上映时间:2021年9月30日

此版本中的新特性在Artifactory版本7.27.3及更高版本中可用。

突出了

JFrog安全CVE研究与充实

Xray与Vdoo的集成引入了JFrog安全CVE的研究与充实,提供额外的CVE细节的新功能J青蛙安全研究团队,这由执行手动操作的安全专家组成并提出了一种新的JFrog严重性评分以及深入的技术概述让你更好地了解cve带来的实际风险。

与Jira的x射线集成

Xray现在可以与Atlassian的Jira软件集成,根据Xray识别的安全威胁和违规行为自动创建Jira票。要了解更多信息,请参见Xray Jira集成

解决问题

JIRA 描述

x光- 8303

修复了一个问题,即在某些情况下,违规的严重程度在按需二进制扫描和依赖项扫描(都可以通过JFrog CLI获得)与x线片给出的严重程度不同。

x光- 8278

改进了未知许可证分类,不包括Docker层、清单和构建,以避免误报。

x光- 8215

修正了一个问题,即删除手表的违规行为仍然显示在x射线。

x光- 8163

修复了一个问题,即获取违规REST API默认情况下是按摘要排序的,这会导致一些性能问题。

x光- 8097

修复了当x射线数据库中缺少组件版本时未检测到许可证的问题。

x光- 8043

修复了一个问题,即按需二进制扫描和依赖项扫描(都可以通过JFrog CLI)不能正确返回自定义许可证。

x光- 8007

修正了在某些情况下,当在通用工件上导出x射线数据时,导出的文件(CSV/JSON/PDF)为空的问题。

x光- 7977

修正了为大型存储库生成违规报告耗时过长的问题。

x光- 7491

修复了一个问题,即在某些情况下,x射线系统的YAML文件内容被删除时,重新启动x射线。

x光- 7304

修正了一个问题,即当违反次数非常高时,返回Watch违规计数会导致数据库中的性能问题。

x光- 7167

修复了一个问题,即对于具有不同校验和但相同路径的Docker映像,Xray会返回映像以前的漏洞。

x光- 8378

修复了当相同的校验和与许多公共组件相关联时,数据库被影响分析消息过载的问题。

3.32 x光

本节包括所有的Xray 3.32版本。

x光3.32.2

上映时间:2021年9月1日

解决问题

  1. 修复了在某些情况下,使用Configurations REST API更新系统参数时会覆盖现有值的问题。

x光3.32.1

上映时间:2021年8月31日

功能增强

宽限期REST API支持

增加了一个新的参数来支持宽限期的特性创建政策REST API。

忽略规则REST API增强

您现在可以对获取忽略规则按项目的REST API。

解决问题

JIRA 描述

x光- 8042

修复了使用强制索引API重新索引Alpine存储库有时会导致错误的问题。

x光- 7665

修正了在某些情况下,当构建名称包含特殊字符时,构建的x射线状态不正确的问题。

x光- 7651

修正了当多个组件受到相同违规影响时,导出的违规报告只包含一个组件的详细信息,而其他组件则缺失的问题。

x光- 8240

修复了当相同的标签(例如latest)被新图像覆盖时,Docker图像有时在x射线中显示为未索引的问题。

x光- 8257

修正了在某些情况下,由于最新版本或发布包版本的新过滤器,观察违规页面需要一段时间才能加载的问题。

3.31 x光

本节包括所有的Xray 3.31版本。

x光3.31.2

上映时间:2021年9月1日

解决问题

  1. 修正了在某些情况下,由于最新版本或发布包版本的新过滤器,观察违规页面需要一段时间才能加载的问题。

x光3.31.1

上映时间:2021年8月23日

突出了

设置构建失败前的宽限期

现在,您可以在策略中为构建失败设置宽限期,允许您在设置的时间段内,在存在违规的情况下阻止构建失败。有关更多信息,请参见创建x射线策略和规则

手表新滤镜

过滤手表列表中的手表页面在x射线缩小范围,只显示手表,是相关的你。有关更多信息,请参见配置x射线手表

过滤忽略规则

使用一组不同的筛选选项,根据您选择的筛选条件缩小忽略规则列表的范围。有关更多信息,请参见无视规则

上面提到的新功能需要Artifactory版本7.25。X或更高。

x射线报告克隆

中创建现有报表的克隆x光报告以重用报表及其定义的设置,从而节省重新创建经常使用的报表的时间。此功能需要Artifactory 7.23。X及以上。

热升级

你现在可以升级一个高可用性(HA)从3.31.0版本安装到更高版本,而不关闭所有辅助节点。您可以在零停机时间下完成Xray HA升级。

功能增强

增强的x射线依赖扫描和按需二进制扫描

x光依赖性x射线按需二进制扫描现在包括忽略违规的选项。在每次扫描的JSON报告中,结果中包含一个忽略规则URL (JFrog平台中Xray的URL),使您能够为报告中的违规创建忽略规则,如所述无视规则

解决问题

JIRA 描述

x光- 7394

修复了在某些情况下强制索引REST API失败的问题。

x光- 7322

修复了当包含大量已定义的监视和策略时,监视页面有时需要一段时间才能加载的问题。

x光- 6791

修复了一个问题,即扫描存储库中包含未标记为索引的构件的构建时,有时会返回不正确的结果。

x光- 8199

修正了一个问题,即在某些情况下,创建违规报告失败,由于缺少数据的一些违规。

x光- 8151

修复了当生成名称包含'/'字符时扫描生成失败的问题。

x光- 8071

修正了在某些情况下,删除手表不会删除相关违规行为的问题。

3.30 x光

本节包括所有的Xray 3.30版本。

x光3.30.2

上映时间:2021年8月18日

解决问题

JIRA数量 描述

x光- 8213

修复了当生成名称包含'/'字符时扫描生成失败的问题。

x光3.30.1

上映时间:2021年8月15日

突出了

发布包细节REST API

添加了一个新的发布包详细信息REST API,返回在发布包中发现的许可证和安全违规。

解决问题

JIRA 描述

x光- 7839

修复了扫描构建REST API输出返回重复的受感染文件的问题。

x光- 7930

修复了扫描内部组件损坏的工件失败的问题。

x光- 7084

x光- 7737

修复了当在Postgres DB密码连接字符串中使用特殊字符时,有时会导致Xray失败的问题。

x光- 7791

修复了一个问题,即CVE数据没有显示在dom4j库的报告中。

3.29 x光

x光3.29.2

上映日期:2021年8月11日

解决问题

JIRA数量 描述

x光- 7930

修复了扫描内部组件损坏的工件失败的问题。

x光- 8143

修复了当生成名称包含“”时扫描生成失败的问题/'字符。

x光- 8139

修正了在某些情况下,Docker映像强制重新索引导致Xray失败的问题。

x光3.29.0

上映时间:2021年7月21日

突出了

依赖扫描

x射线依赖扫描特性使您能够扫描源代码依赖项以查找安全漏洞和许可证违规,并能够根据您的x射线策略进行扫描。可以使用JFrog CLI.使用一个简单的命令行工具,您可以扫描本地文件系统上的源代码目录,从而在开发过程中提供快速和早期的扫描。

按需二进制扫描

x射线现在提供按需二进制扫描来满足您的需求JFrog CLI为了快速的结果。现在,您可以指向本地文件系统中的二进制文件,并在将二进制文件或构建文件上传到Artifactory之前收到一份报告,其中包含该二进制文件的漏洞、许可和策略违规列表。

新的扫描功能需要JFrog CLI 2.1.0版本。

功能增强

额外的REST API项目支持

为了进一步支持Xray中的项目,在Xray REST api中添加了以下内容:

解决问题

JIRA数量 描述

x光- 7956

修正了一个问题,即在某些情况下,循环依赖会导致扫描期间分析中的堆栈溢出。

x光- 7942

修复了一个问题,即工件摘要API有时会为推送到多个位置的Docker映像返回空结果,并且这些位置被删除。

x光- 7803

修复了一个问题,即,数据库同步被卡住,由于数据库重新启动。

x光- 7604

修复了当在策略中启用Notify Deployer选项时不会为构建发送电子邮件通知的问题。

x光- 5960

修复了当使用Import API导入x射线配置时,远程存储库未在watch中分配为索引资源的问题。2022世界杯阿根廷预选赛赛程

x光- 7944

修正了一个没有引用的许可证被检测为未知许可证的问题。

x光- 7049

修复了在某些情况下,由于RabbitMQ失败而导致索引构建或存储库失败的问题。

x光- 8019

修复了在Xray DB中非公共模式的罕见情况下Xray升级失败的问题。

3.27 x光

本节包括所有的Xray 3.27版本。

x光3.27.4

上映时间:2021年7月13日

解决问题

JIRA数量 描述

x光- 7694

修复了在x射线安全选项卡中按严重性排序不能正常工作的问题。

x光- 7984

修复了x射线试用许可证从3.27.x版本失败的问题。


x光3.27.3

上映时间:2021年7月12日

功能增强

运行状况检查就绪情况新配置

中使用以下新配置参数配置运行状况检查准备情况特性x射线系统

  • shared.probes.readiness.samplers.database.enabled
  • shared.probes.readiness.samplers.rabbitmq.enabled
  • 年代hared.probes.readiness.samplers.centraldb.enabled(云)
  • shared.probes.readiness.samplers.indexerDataFolderDiskUsage.enabled
  • shared.probes.readiness.samplers.indexerDataFolderDiskUsage.threshold

x光3.27.2

上映时间:2021年6月30日

此版本中引入的新特性需要Artifactory版本7.21.3及以上版本。

突出了

项目中的新安全经理角色

一个安全管理器可以执行与安全相关的项目操作,例如管理x射线数据、管理报告、管理监视和策略,以及忽略全局违规。

生成项目范围的x射线报告

现在可以生成全球x射线报告用于选定项目的所有报告类型在x射线。

对项目应用全局监视

现在可以申请了全球手表使您能够在选定的项目中设置规则和策略。

功能增强

新增DB同步指标

为了监视DB Sync状态,将新的DB Sync指标添加到开放的标准REST API和日志。

解决问题

JIRA数量 描述

x光- 6970

修复了x射线检测到具有CDDL-1.1和GPL-2.0双重许可证的组件为未知许可证的问题。

x光- 6456

修复了一个问题,即当构建被推送到Artifactory后不久激活扫描构建时,两个进程可能并行运行,导致数据库错误和失败。

x光- 6152

修复了一个问题,即x射线服务器请求日志旋转没有存档在默认存档文件夹。

x光- 7461

修复了在某些情况下,旧子组件的一些漏洞会显示在x射线选项卡中的问题。
此修复在Artifactory版本7.21.2及以上版本中可用。

x光- 7312

修复了在不同的Maven组件中使用相同的属性时,Xray没有显示正确数据的问题。

x光- 6717

提高了REST API的性能。

x光- 7605

修正了x射线索引由于错误计算可用磁盘存储而失败的问题。

3.26 x光

本节包括所有的Xray 3.26版本。

x光3.26.1

上映时间:2021年6月10日

突出了

Xray的垃圾收集器(GC)功能使您能够避免Artifactory发送的删除/创建事件之间的竞争条件,主要是在移动工件和提升图像时。此特性默认情况下是活动的,并且可以在x射线系统deleteMode (gc”/“渴望”)参数。
您可以通过一组REST api来管理垃圾收集器,例如获取GC状态或强制运行GC。有关更多信息,请参见垃圾收集器(GC) REST api

解决问题

JIRA数量 描述

x光- 7634

修复了一个问题,即导出组件详细信息当你有相同的Docker图像与不同的标签时,REST API不能正常工作。

x光- 7587

修复了在某些情况下,强制重新索引后,扫描的构建或新索引的Docker映像不显示漏洞和违规的问题。

x光- 7316

修复了x射线无法扫描构建名称中包含“>”的构建的问题。

x光- 7030

修复了x射线在构建中包含特殊字符时无法发现和显示违规的问题,例如构建名称中的“/”“\”。

x光- 6682

修复了一个问题,即CI集成使用的x射线构建扫描结果中提供的URL没有指向x射线数据选项卡中的特定构建。

x光- 6405

修复了在某些情况下,使用REST API更新系统参数会导致删除的问题jsFilesBatch参数。

x光- 6153

修正了在某些情况下,在PDF、CSV和JSON格式的Xray数据选项卡安全导出中存在重复行的问题。

x光- 7613

修复了一个问题,即在某些情况下,Xray无法扫描包含Golang包的构建go.mod

x光- 7694

修复了在x射线安全选项卡中按严重性排序不能正常工作的问题。

x光- 7683

修正了从版本2升级Xray的问题。X到3。当XUC组件文件名大于255个字符时,x失败。

x光- 7559

修复了一个问题,即当在存储库中通过路径使用GetArtifactDependencyGraphREST API,它返回了不正确的结果。

3.25 x光

本节包括所有的Xray 3.25版本。

x光3.25.1

上映时间:2021年5月27日

功能增强

观察并报告项目的REST api增强

添加了对项目的支持在Watches V2 REST api和Reports REST api中为Build资源创建报告或监视。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 7570

修复了开放度量日志和度量REST API中的格式问题。

x光- 7496

修正了一个问题,即当构建失败时,扫描报告包括忽略的和活动的违规。构建扫描报告现在将只包括活动违规。

x光- 7482

修正了日志中一些太长的消息难以读取的问题。

x光- 7101

修复漏洞问题cve - 2020 - 28852

x光- 7585

修复了当包版本为发布候选版本时,x射线扫描Alpine包有时会导致误报信息的问题。

x光- 7586

修复了与Go的Xz包相关的安全漏洞。

x光- 7362

修复了x射线无法索引工件的问题. apk后缀。

3.24 x光

本节包括所有的Xray 3.24版本。

x光3.24.2

上映时间:2021年5月2日

突出了

Distroless扫描

x射线现在可以扫描了谷歌图像只包含您的应用程序及其运行时依赖项。

红帽漏洞扫描程序认证

JFrog x射线现在已经通过了认证红帽漏洞扫描程序认证.该认证承认Xray是红帽值得信赖的安全合作伙伴,使Xray能够提供一致和更准确的红帽产品和包处理,并报告漏洞,最大限度地减少误报和其他差异。hth华体会最新官方网站

功能增强

影响分析性能改进

提高了Impact Analysis性能,显著降低了数据库服务器CPU和I/O级别。

红帽软件包增强

改进了红帽包扫描,支持CPE匹配,增强了红帽漏洞检测。Xray还支持红帽模块,以便更好地扫描红帽操作系统软件包。

Go版本升级

带有Xray的Go版本已升级到1.16.1版本,解决了中描述的一些安全漏洞cve - 2021 - 27918

PostgreSQL版本绑定

与PostgreSQL的x射线绑定已经更新为使用更新的PostgreSQL版本13.x

解决问题

JIRA数量 描述

x光- 7347

修复漏洞问题cve - 2021 - 27918

x光- 6979

修复漏洞问题cve - 2020 - 26160

3.23 x光

上映日期:2021年4月22日

功能增强

REST API相关性能改进

改进了运行时的性能扫描构建API。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量

描述

x光- 6123

修复了在某些情况下,数据库同步后会意外增加数据库大小的问题。

3.22 x光

本节包括所有的Xray 3.22版本。

x光3.22.1

上映时间:2021年4月7日

功能增强

限制索引器使用的存储空间

现在,您可以限制Indexer微服务在并发下载和提取工件期间使用的存储空间。这将确保使用的存储不会超过允许的磁盘使用量的默认80%。
要启用此功能,请设置server.enableVirtualStorageManager参数设置为truex射线系统文件。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6998

修正了在手表上运行历史扫描时,工件扫描时间未更新的问题。

x光- 6940

修复了当在Docker容器内的同一目录中删除多个文件时,Xray有时会对删除的文件报告误报的问题。

x光- 6826

修复了一个UI配置停止邮件通知不能正常工作的问题。

x光- 6744

修复了在Maven红帽版本中生成误报安全违规的问题。

x光- 6439

修正了在监视通知电子邮件中提供的违规警报链接不正确的问题。

x光- 7349

修复了一个问题,即Red Hat为与alt-Linux相关的漏洞生成不正确的cpe,因此Xray报告误报。x光现在只匹配.el7aVersion后缀为.el7a版本。

3.21 x光

本节包括所有的Xray 3.21版本。


x光3.21.2

上映时间:2021年3月31日

此版本中引入的新特性需要Artifactory版本7.17.4及以上版本。

突出了

项目中的x射线
云:E企业|企业+自托管:企业|企业+

在JFrog项目范围内使用x射线功能。JFrog Projects是一个管理实体,用于托管您的资源(存储库、构建、发布包和管道),并将用户/组作为具2022世界杯阿根廷预选赛赛程有特定权利的成员相关联。将x射线任务卸载并委托给组织中的不同角色,例如将x射线安全管理功能分配给特定项目范围的项目管理员。有关更多信息,请参见项目

x射线CVSS v3评分支持

x射线现在支持CVSS v3评分除了CVSS v2评分。这将确保Xray对漏洞的评分是最新的,并提供最新的普遍标准漏洞严重性评级。有关更多信息,请参见CVSS评分在x射线

x射线柯南和C/ c++支持

x射线现在可以扫描部署到人工工厂的柯南包。Xray还可以扫描C/ c++依赖关系作为构建的一部分。有关更多信息,请参见Conan和C/ c++在Xray中的支持

功能增强

x射线界面更改

JFrog平台中的x射线UI已经改变,以创建更好的x射线任务划分,以反映不同角色的不同任务。监视和策略的管理和创建已经转移到Administration模块,因为这些任务通常由管理员或具有特殊权限的用户执行。监视违规和报告在应用程序模块中。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述
x光- 7211 修复了一个问题,即impactPathsDao。RemoveImpactPathByIds向postgresql传递了太多参数。
x光- 7299 修复了一个问题,即x射线分析日志包含太多的错误信息,当一个很长的许可证字符串被提取从一个文件期间驯鹿。
x光- 7227 修复了一个问题,即扫描构建REST API返回漏洞并导致构建失败,然而,UI中的Xray data选项卡没有显示违规。

x光- 7193

修正了在某些情况下,当DB同步包含具有大量信息的漏洞时,Xray崩溃的问题。

x光- 6593

修正了以CSV格式导出数据产生的数据少于JSON格式的问题。

x光- 7257

修正了当用户的权限目标为空时,x射线会发出错误的问题。

3.18 x光

x光3.18.2

上映时间:2021年3月22日

解决问题

  1. 修正了在某些情况下,x射线在没有资源的情况下验证权限失败的问题。2022世界杯阿根廷预选赛赛程

x光3.18.1

上映时间:2021年3月8日

解决问题

  1. 修正了在某些情况下,当DB同步包含具有大量信息的漏洞时,Xray崩溃的问题。

x光3.18.0

上映时间:2021年3月2日

x射线版本3.18。x及以下版本与Artifactory版本7.17.4及以上版本不兼容。你需要升级到Xray 3.21.2。

功能增强

PostgreSQL版本支持

PostgreSQL 13通过了Xray 3的认证。X及以上。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 7048

修复了一个问题,即当影响分析更新影响大量工件时,x射线服务器服务可能会耗尽内存。

x光- 7068

修正了在某些情况下,由于运行时错误,Docker映像未被Xray索引的问题。

x光- 7006

修复了一个问题,即当一个新的许可证(从x射线全球数据库)被添加到一个组件(在DB同步期间),触发的影响分析过程是缓慢的。

x光- 6741

通过增加对LZMA压缩格式扫描的支持,改进了RPM包的索引

x光- 6188

修复了Xray以最大允许权限掩码创建新文件和目录的问题(777)。x射线现在将创建掩码为660的新文件和掩码为770的新目录。
x光- 7058 修复了一个问题,即当有许多基于RedHat的Docker映像时,影响分析队列继续增长。

3.17 x光

本节包括所有的Xray 3.17版本。


x光3.17.4

上映时间:2021年2月17日

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6921

修复了一个问题,即在Saas环境中,为空的对象发出错误package.json在NPM审计中。

x光- 7031

修复了导致大量磁盘访问的性能问题。

x光- 6515

修正了x射线错误地将CPL许可证检测为CPAL许可证的问题。

x光3.17.2

上映时间:2021年2月4日

突出了

REST API开放指标

增加了与x射线数据库同步时间相关的指标,以及扫描工件和组件的总数。有关更多信息,请参见开放的标准

功能增强

Go版本升级

升级Go版本至1.15.7,修复安全漏洞。

报告中的影响路径数据

中查看影响路径数据尽职调查报告获取尽职调查报告内容REST API、JSON和CSV输出。

扫描构建REST API权限

扫描构建REST API不再需要Admin权限,只需要管理x射线元数据权限。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6955

修复了在构建UI页面中,当构建号包含构建名称中的字符时,扫描构建时构建状态未显示为扫描的问题。

x光- 6795

修正了在某些情况下,数据库初始同步会意外暂停的问题。

x光- 6708

修正了当数据库服务器关闭或数据库发生故障时不会创建违规的问题。

x光- 6887

降低了受影响的风险cve - 2020 - 29652

x光- 6883

降低了受影响的风险cve - 2020 - 26160

x光- 6257

修复了索引工件时可能导致DOS或覆盖OS文件的安全问题。

x光- 6820

修复了一个特定组件或组件版本的忽略规则无法忽略多个源的违规的问题。

需要Artifactory版本7.15.0及以上。

x光- 6912

修正了一个问题,即通过在工件/监视屏幕中使用工件过滤器来忽略一个违反,并且工件存在于多个存储库/路径中并包含违反,该违反没有被忽略。



3.16 x光

上映时间:2021年1月21日

突出了

新的REST API恢复被忽略的违规

介绍了一个新的恢复被忽略的违规行为REST API,它允许您恢复由于定义的忽略规则而被忽略的违规。

功能增强

报告中的影响路径数据

您现在可以在JSON和CSV输出中查看漏洞和违规报告的影响路径数据。

用于REST API的基于时间的忽略规则过滤器

按过期日期对忽略规则进行筛选和排序获取忽略规则,例如将在特定日期之前或之后到期的基于时间的规则。您还可以按截止日期对忽略规则进行排序。

查看违规报告中“忽略的违规”

您可以在“违规报告”中查看被忽略的违规数据,包括可在REST接口中使用的忽略规则ID。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6675

修正了报告进度显示不正确的百分比值的问题。

x光- 6802

将Go版本升级到1.15.6,以解决以前版本中的安全漏洞。

x光- 6855

修复了一个问题,即扫描基于Docker映像的构建,在某些情况下,超时失败。

x光- 6856

修正了在某些情况下从Xray 2迁移的问题。X到3。由于超时或内存异常,大型环境中的X失败。



3.15 x光

本节包括所有的Xray 3.15版本。

x光3.15.3

上映时间:2021年1月7日

功能增强

x射线违规和漏洞报告现在包括从红帽操作系统咨询委员会收到的关于严重程度的额外信息。该信息将包含在报告的CSV和JSON导出格式中。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6793

修复了一个问题,即升级到x射线版本3.x后,x射线数据库磁盘空间显着增加。

x光- 6824

修正了在某些情况下,观察页面无法正确加载的问题。

x光3.15.1

上映时间:2020年12月30日

功能增强

分级改善

提高了性能x光数据选项卡。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 5560

修正了一个问题,即在某些情况下,分配自定义许可证失败,组件被分配一个未知的许可证。

x光- 3988

修正了微软自定义免费软件许可证不被Xray识别的问题。

x光- 6054

修复了一个问题,即在某些情况下,当扫描Debian/Ubuntu组件时,Xray报告所有受影响版本的漏洞。

x光- 6786

修复了一个问题,即如果一些Debian软件包首次作为独立软件包上传,则不会报告漏洞。

x光- 6776

修复了一个问题,即在SaaS环境中Xray关闭或重新启动后不会触发DB同步。

x光- 6780

修复了一个邮件通知发送两次的问题通知邮件通知监视收件人日志含义选项在策略中配置了相同的电子邮件。

x光- 2560

修复了一个问题,即在某些情况下,Xray没有索引新文件,由于事件留在event_states数据库表。

x光- 6220

修复了Xray无法扫描使用PIP客户端安装在Docker映像中的Python包的问题。

x光- 602

修正了在某些情况下,构建扫描触发重复通知的问题。

3.14 x光

本节包括所有的Xray 3.14版本。

x光3.14.3

上映时间:2020年12月29日

解决问题

  1. 修复了一个问题,即升级到x射线版本3.x后,x射线数据库磁盘空间显着增加。

x光3.14.1

上映时间:2020年12月22日

功能增强

PostgreSQL驱动升级

升级PostgreSQL驱动到最新版本。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6727

修正了在某些情况下,MDS更新队列中的错误无法正确处理并导致不必要重试的问题。

x光- 6711

修正了一个问题,即使用基本身份验证时存在内存泄漏。当您大量使用带有基本身份验证的Xray api时,很可能会发生这种情况。

x光- 3652

修复了一个问题,即x射线在OpenSUSE组件上检测假阳性漏洞。

x光- 5962

修复了一个问题,即由用户生成的访问令牌属于管理组,不能正常工作。
x光- 6758 修正了x射线在分析某些工件文件结构时消耗高CPU和内存的问题。

x光- 6763

修正了一个问题,即x射线失败构建包含被忽略的违规。

x光- 6685

改进了在二进制文件中的多个组件上发生违规的情况的处理,并且忽略规则仅在这些组件的一个子集上设置。在修复之前,系统没有正确指示哪个组件上的违规被忽略,哪个组件没有被忽略。

3.13 x光

x光3.13.3

上映日期:2020年12月17日

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

x光- 6758 修正了x射线在分析某些工件文件结构时消耗高CPU和内存的问题。

x光- 6763

修复了一个问题,即扫描构建报告没有从被忽略的违规行为中清除。

x光3.13.0

上映时间:2020年12月8日

功能增强

忽略规则增强
基于时间的忽略规则

“基于时间的忽略规则”为“忽略规则”设置一个截止日期,在该截止日期内,该违规行为将被忽略,直到“忽略规则”失效为止。一旦该期限到期,忽略规则将被自动删除,如果再次发生违规,将不会被忽略。有关更多信息,请参见无视规则.此特性也通过REST API得到支持,如无视规则REST API。

被忽略的违规记录存储在数据库中

所有被忽略的违反现在都存储在DB中,这使您能够在工件、构建和发布包级别上查看所有被忽略的违反。

UI的改进

UI现在在不同的屏幕中提供了关于被忽略的冲突的更多信息,包括工件、构建和发布包的冲突列表。

要求人工7.12.0及以上

一些忽略规则的增强需要Artifactory 7.12.0及以上版本。Artifactory 7.12.0还没有发布,很快就会发布。


导出组件详细信息API增强

添加了include_ignored_violations参数导出组件详细信息RST API。这将返回每个匹配策略的忽略规则ID。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 5875

修复了向带有空存档包的包添加自定义许可失败的问题。

x光- 5816

修复了一个问题,即当一个漏洞的严重级别被更新,并由此创建了一个违规,Xray创建了一个新的违规,而不是更新现有的。

x光- 4575

修正了一个问题,即x射线无法索引损坏tar.gz归档文件。

x光- 4767

在流程需要组件图的许多情况下提高了性能。例如,从中央数据库更新处理漏洞。

x光- 6705

在某些情况下,在不需要更新数据库的情况下,提高了许可证分析过程的性能。

x光- 6607

修正了一个问题,即在某些情况下,x射线数据标签需要一段时间来加载。


3.12 x光

上映时间:2020年11月29日

功能增强

改进的索引器功能

通过改进工件的分类和复杂情况的识别,例如识别其他组件中的内部组件,增强了索引器功能。

这一改进解决了以下问题:XRAY-5380、XRAY-6032、XRAY-6023、XRAY-5601、XRAY-5200、XRAY-5022、XRAY-4551、XRAY-4540、XRAY-4505、XRAY-4081、XRAY-2167、XRAY-5355、XRAY-5448、XRAY-5786、XRAY-5694、XRAY-5534、XRAY-3716、XRAY-6583、XRAY-6441、XRAY-5449。

构建扫描改进

改进了构建扫描过程,让Xray只从Artifactory下载作为构建一部分的工件,Xray可以在其中扫描它们,从而节省资源和时间。2022世界杯阿根廷预选赛赛程

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 5550

修复了一个问题,即在从头开始安装Xray后,Xray需要5分钟才能获取平台代理和邮件配置,这导致Xray忽略此配置并在依赖此配置的任务中失败。

x光- 6419

修复了一个问题,即在某些情况下,Xray报告Debian/Ubuntu用户空间Debian软件包的内核漏洞。

x光- 6376

修复了当生成支持包的时间超过30秒时创建支持包不成功的问题。

x光- 6231

修正了违规摘要页面未显示与此违规相关的所有受感染组件的问题。
修复需要Artifactory 7.11.0及以上版本。

x光- 4124

修正了一个问题,即当为工件或构建导出违规时,组件数据缺少组件版本。

x光- 3472

修正了一个问题,即PostgreSQL真空配置不工作时,Xray是在HA设置。

x光- 6284

修复了一个存储的XSS(跨站脚本)漏洞。

x光- 6250

修正了在某些情况下,Xray无法同步安全配置以禁用匿名访问的问题。

x光- 6224

修正了更新监视API在选择所有构建时失败的问题。

x光- 6598

添加了一个选项来标记某些组件,以便在扫描期间重新评估,而不是重用以前的扫描结果。

x光- 6638

修正了在构建资源上定义的权限不起作用的问题。2022世界杯阿根廷预选赛赛程

x光- 6610

修复了一个问题,即在HA、SaaS或K8s环境中,如果每日DB同步进程中途停止,可能无法完成并导致DB负载。

3.11 x光

x光3.11.2

上映时间:2020年11月11日

这个版本的Xray取代了3.11和3.11.1。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述
x光- 6597 修复了一个问题,即当使用错误的凭据调用需要身份验证的x射线端点时,即使使用良好的凭据,连续的API调用也可能失败。
x光- 6274 修复了重复更新元数据服务器事件造成内部系统冗余负载的问题,如RabbitMQ, PostgreSQL和MDS。

x光- 6591

修正了缺乏数据卫生有时会导致SQL注入的问题。

x光3.11.1

上映时间:2020年11月9日

解决问题

  1. 修复了一个问题,即x射线Docker撰写指向一个不正确的Docker注册表。

x光3.11.0

上映时间:2020年11月8日

避免升级到3.11和3.11.1

在版本3.11和3.11.1 (XRAY-6597)中发现了一个关键问题。此问题已在3.11.2版本中修复,我们建议直接升级到3.11.2。

突出了

违规的报告

介绍了新的违反报告,它为您提供有关所选范围中每个组件的安全性和许可证违规的信息。违规信息包括违规类型、受影响的工件和严重性等信息。

违规报告可在Artifactory版本7.10.6及以上版本中获得

功能增强

无视规则

增强了忽略规则特性的功能,包括在已定义的忽略规则上设置粒度的能力。所有忽略规则的功能都是通过REST API支持的。

要启用这些增强功能,需要Artifactory版本7.10.5(可用)或更高版本。

要了解更多信息,请参见无视规则

x射线系统中的新连接参数

添加了对以下两个新参数的支持x射线系统

  • maxLifetimeSecs:在一个连接被回收并在其位置上建立另一个连接之前,允许连接处于活动状态的秒数。
  • maxIdleSecs:连接在关闭之前可能处于空闲模式的秒数。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6565

修复了一个包含冒号的构建号在x射线中无法扫描的问题。

x光- 6493

x光- 6517

修正了在某些情况下,数据库同步无法更新数据库行的问题。

x光- 6454

修正了Xray在某些情况下无法识别某些RPM包的许可证的问题。

x光- 6232

修正了影响分析有时会在错误情况下忽略消息的问题,这会导致一些信息丢失。

x光- 5291

修正了当有大量可用的构建时,Watch配置和报告定义中的构建选择非常缓慢的问题。

x光- 4323

修复了Xray由于代码中的竞争条件而无法向组件添加自定义许可的问题。

x光- 3412

修正了索引所有存储库有时在有大量存储库时失败的问题。

x光- 3104

修正了分析微服务由于恐慌错误而无法处理某些消息的问题。

x光- 6275

性能改进以减少数据库的负载。

x光- 6501

修正了一个问题,即在某些情况下,Xray错误地将RPM包分类为通用包。
x光- 6265 修复了一个问题,即持续和分析进程在某些情况下崩溃,由于高内存消耗。
x光- 6247 为报表中显示的行数添加了可配置的限制。每个报告的默认限制是100,000行。

X.509证书上已弃用的CommonName字段

禁用使用X.509证书上的CommonName字段作为主机名,当证书不包括主题备选名称时。



3.10 x光

本节包括所有的Xray 3.10版本。

x光3.10.3

上映时间:2020年10月22日

突出了

高山包支持在x射线

Xray现在扫描和索引您的Alpine库和Alpine包,包括递归分析,组件图集成,并提供详细的元数据信息。

功能增强

Python包文件格式支持

Xray现在支持内部的Python文件索引(PyPI). tar. gz, .tgz.whl,.egg文件格式。

支持*.tar归档中的PHP文件

Xray现在支持PHP文件* . tar档案。

新的元数据REST API

添加了一个新的重发工件元数据允许管理员将工件元数据重新发送到元数据服务器的REST API。

解决问题

已解决的问题现在包含相关的JIRA编号,以帮助您跟踪在该版本中修复的问题。

JIRA数量 描述

x光- 6196

修正了一个问题,即x射线没有根据他们的顺序处理策略中的规则。

x光- 6181

修复了一个问题,即现有指数选项对于RPM包不能正常工作。

x光- 6127

修正了一个问题,即如果PostgreSQL密码在x射线系统中没有正确转义YAML文件,它出现在x射线控制台日志中。

x光- 6076

修正了一个问题,即当从x射线版本2升级。X到3。当先前被x射线扫描的Docker层之一包含前缀为“fslayer”的“fslayer”时,数据迁移失败。tarsum.v1 + sha256:在码头工人家里manifest.json

x光- 5271

修正了一个问题,即当同一个手表有多个许可证策略时,并非所有许可证违规都被创建。
x光- 6371 修正了当构建的工件包含许多引用时,扫描构建可能比平时花费更长的时间的问题。
x光- 6418 修正了在某些极端情况下,消息可能导致x射线崩溃的问题。添加了一种机制来防止这些消息反复使x射线崩溃。
x光- 6446 修正了在某些情况下,当构建应该失败时,扫描构建没有检测到任何违规的问题。
x光- 6281 修复了当搜索X天的违规行为时,搜索返回所有违规行为的问题。
x光- 6372 修复了具有相同docker映像的两个构建返回不同违规的问题。
x光- 6417 修正了一个问题,因此,损坏某些小精灵文件导致索引器失败。
x光- 6449 修复了在某些情况下,API/ x光/ ui / userIssues /细节由于处理时间过长,导致服务器错误。

x光- 6475

修正了一个问题,即在某些情况下,Xray启动一个完整的DB同步,即使它是不需要的。

3.9 x光

本节包括所有的Xray 3.9版本。

x光3.9.1

上映时间:2020年10月4日

突出了

尽职调查许可报告

介绍了新的尽职调查许可报告,它为您提供了组件和工件及其相关许可的列表。这使您能够检查并验证组件和工件是否符合许可要求。

数据库同步改进

将初始漏洞数据库同步提高了92%。在满足x射线系统最低要求的情况下,总时间减少到不到一个小时。

解决问题

  1. 修复了在某些情况下,Docker层后代不显示在UI中的问题。
  2. 修复了一个问题,即如果发现违规,如果启用了失败构建选项,则不会触发Webhooks。
  3. 改进了x射线请求日志格式,使其与JFrog平台标准保持一致。如果您有基于旧格式的自动化,请确保对其进行相应的更新。
  4. 在响应来自Xray IDE插件的请求时,改进了Xray的性能。
  5. 通过减少默认的空闲连接数改进了数据库连接池配置将数据库设置为较低的值5。系统YAML参数名称已被更改以支持此增强,但是,为了向后兼容,支持旧的参数名称。有关更多信息,请参见x射线系统


弃用api

从Xray 3.9.1版本开始不支持以下api:

/ ui / api / v1 / x光/ api / v1 /项目/ < project_name > / / *

v1alpha1 /项目/ {projectsId} /出现


3.8 x光

x光3.8.8

上映时间:2020年9月26日

解决问题

  1. 修正了一个问题,即在某些情况下从Xray 2迁移。X到3.8.4-3.8.6可能失败。
  2. 修复了一个问题,即PostgreSQL二进制文件丢失并导致迁移到Xray 3。X失败。

x光3.8.7

上映时间:2020年9月25日

解决问题

  1. 修正了一个问题,即在某些情况下从Xray 2迁移。X到3.8.4-3.8.6可能失败。

x光3.8.6

上映时间:2020年9月16日

解决问题

  1. 修正了一个问题,即在某些情况下,从Xray 2迁移。x到x射线3。x失败了。

x光3.8.5

上映时间:2020年9月10日

解决问题

  1. 修正了从Xray 2迁移时的问题。x到x射线3。X,撞击路径记录正在复制。
  2. 修复了由于PostgreSQL依赖而导致在AWS实例中运行包装器脚本(RPM风格)时安装Xray失败的问题。
  3. 修复了一个问题,即升级到3.8后。x触发完整的DB同步,即使在不需要时也是如此。

x光3.8.3

上映时间:2020年9月8日

Xray 3.8.3作为云版本提供

Xray 3.8.3版本目前只提供云版本.对于On-Premise版本,3.8.3内容可以作为3.8.5版本的一部分获得。

功能增强

License检测改进

提高license检测性能和成功率,降低CPU利用率。

解决问题

  1. 修正了在某些情况下,查看或导出工件的许可证会导致PostgreSQL服务器故障的问题。
  2. 修复了一个问题,即在某些情况下,未检测到docker映像中的PyPI包许可证。
  3. 修复了一个问题,即当扫描具有类路径异常许可的GPL-2.0组件时,Xray将其识别为GPL-2.0
  4. 修复了一个问题,即在某些情况下RPM OS包在docker映像中使用错误的epoch进行索引。对于已经使用错误epoch进行索引的包,可以使用力重建索引API。
  5. 修复了一个问题,即当试图在漏洞或违规的影响路径图中钻取到内部组件时,会发出500错误。此问题仅影响Xray版本3.8.2的SaaS用户。
  6. 修复了一个问题,即Xray无法与Azure管理的PostgreSQL一起设置。向系统中添加了一个属性。以支持连接到外部管理的数据库,其中实际的数据库用户名可能与连接用户名不同。新属性是shared.database.actualUsername

x光3.8.2

上映时间:2020年8月23日

由于此版本中存在已知的错误,我们建议您升级到3.8.5版本。

功能增强

向索引配置API添加构建

一个新的将生成添加到索引配置Xray REST API中已经添加了API,它允许您添加新构建,只需将新构建名称提供给选择用于索引的构建列表。

存档安装程序改进

将Install as a service修改为在支持systemd的机器上使用systemd脚本。

PostgreSQL版本绑定

与PostgreSQL的x射线绑定已经更新为使用更新的PostgreSQL版本12.x

解决问题

  1. 改进了冲击分析处理的性能。
  2. 修复了一个问题,即在某些情况下,如果数据库在一段时间内不可用(例如数据库重新启动或故障转移),工件不会被正确索引和扫描。
  3. 修复了一个问题,即发布包仓库映射导致x射线扫描找不到文件。
  4. 修复了PHP composer中Artifactory和Xray的组件ID不一致的问题。这个不匹配被修正为总是匹配小写的供应商/包名。
  5. 修复了一个问题,即一个漏洞,在版本3.8.2之前的Xray web应用程序中,没有正确地限制访问许可证页面,这可能允许未经身份验证的用户获取有关服务器许可证的信息。

x光3.8.0

上映时间:2020年8月13日

突出了

漏洞报告

您现在可以创建和生成漏洞报告这为您提供了在工件、构建和发布包中发现的漏洞的可视化表示。通过设置特定的范围和高级过滤器来缩小您希望看到的数据范围,以显示您想要分析的确切数据。现在,一个新的报告页面是JFrog平台的一部分,您可以在其中创建、生成和对报告执行各种操作,并具有导出为PDF、JSON和CSV文件格式以供进一步分析的功能。漏洞报告还得到报告REST api

此报表类型是第一个x光报告此版本中引入的特性。其他报表类型计划用于将来的版本,它们将为您提供进一步的功能。

管理报表用户角色

在用户权限中添加了一个新角色,允许用户创建、生成和管理中的新Reports特性用户和组.某些api也需要此角色,例如获取每个手表的组件列表按CVE查找组件

多许可证许可方法

多许可证许可方法使您能够在策略级别上具有更大的灵活性,并配置更宽松的方法,允许至少具有一个许可的组件通过,而不会触发违规,即使某些许可是不允许的。

需要人工制作的专用功能

漏洞报告,管理报表用户角色,和多许可证许可方法所有功能都需要Artifactory版本7.7.0及以上的云,以及版本7.7.3及以上的on - prem。

系统度量信息API和日志

Xray已经增强以支持开放指标。度量API已添加并返回开放度量格式新的与度量相关的日志文件x光——{microservice} -metrics.log已添加到文件系统。

RabbitMQ升级

RabbitMQ已经升级到3.8.x版本。

功能增强

Go版本升级

带有Xray的Go版本已升级到1.14.6版本,解决了中描述的一些安全漏洞cve - 2020 - 15586

PostgreSQL版本支持

Xray现在被认证可以在PostgreSQL版本11中运行。X和12 X。

解决问题

  1. 修复了u - extreme -1.1.1许可URL不正确的问题。
  2. 修复了一个问题,即在DB同步失败后,DB同步正在读取相同的错误包,而不是下载固定包。
  3. 修复了Debian操作系统的包被命名为“Source”而不是“Package”的问题。
  4. 修复了一个问题,即获取每个手表的组件列表API只需要管理员权限,防止非管理员用户调用此REST API.一个新的管理报告添加了用户角色以使您能够使用此API。
  5. 修复了一个问题,即通过CVE API查找组件没有为具有读权限的用户返回结果。一个新的管理报告添加了用户角色以使您能够使用此API。
  6. 修正了一个问题,即当发现违规时,Xray不会发送电子邮件通知给监视收件人。
  7. 修正了Alert worker消耗过多内存的问题。
  8. 修复了RPM docker镜像在无限循环的索引阶段卡住的问题。
  9. RabbitMQ集群逻辑的改进。


3.6 x光

x光操作

上映时间:2020年7月9日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

解决问题

  1. 修正了从Xray 2迁移时的问题。X到3。时发生错误changed_file字段值太长user_components_docker_layer_changed_files表格
  2. 修复了一个问题,即,当尝试升级x射线和xrayConfig字段中包含特殊字符%,升级失败。

x光3.6.1

上映时间:2020年7月6日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

这个版本包含了3.6.0 Cloud版本的所有增强功能和已解决的问题,包括下面已解决的问题。

解决问题

  1. 修复了x射线在启用代理启动DB同步时崩溃的问题。

3.6.0

上映时间:2020年6月28日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

功能增强

计划后台任务

Xray现在提供了一种方法来调度DB同步后台任务Update DB Sync每日更新时间REST API。Xray在启动时选择随机时间从XUC获取每日更新。这个时间可以通过API配置,不需要重启。

扫描事件的优先级

Xray现在优先扫描新工件/构建/发布包,而不是源自历史扫描或完整存储库扫描的事件,并提供了使用配置工人数量REST API。需要Artifactory版本7.6及以上。

解决问题

  1. 修复了一个问题,即,a在获取bin管理器ID时,代码中忽略了n个错误,从而导致nil指针错误。
  2. 修复了当没有配置策略、监视和构建时扫描构建失败,并且发出不明确消息的问题。
  3. 修复了Xray REST api中artifactory_id参数(或路径内)在Xray 2中是必需的。X,在3中不再需要。X和将被忽略。

3.5 x光

x光3.5.2

上映时间:2020年6月21日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

功能增强

人工连接管理

改进了Xray主动连接Artifactory的过程。以减少负载在人工和提高性能,所有HTTP客户端连接对Artifactory的并发连接数量有限。

存储库扫描改进

增强了存储库索引的过程。从索引存储库请求发起的工件的索引请求不再保存在Artifactory数据库中。这一改进减少了Artifactory中的网络和数据库负载。

解决问题

  1. 修正了PDF报告中没有显示CVE的问题。
  2. 修正了一个错误的问题,即由于不正确的RPM分布比较而对RPM包声明假阳性。
  3. 修正了一个问题,即x射线无法处理空manifest.json文件,防止.wh需要删除的组件。
  4. 修复了一个问题,即更新构建索引配置REST API命令缺少响应消息。
  5. 修正了一个问题,即当x射线检测到无效或过期的许可证时,在调试级别而不是错误日志级别显示错误。
  6. 修正了加载手表时忽略规则加载缓慢的问题。
  7. 修正了一个问题,即从x射线2迁移。X到3。客户端SSL配置没有正确迁移。
  8. 修复了一个问题,即在高可用性集群中,重新加载配置缓存时发生错误。

3.4 x光

上映时间:2020年5月17日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

突出了

postgresql数据库的外部化

从Xray 3.4,你有更多的控制你的资源分配,你可以直接Xray使用外部PostgreSQL数据库在你的组织中使用。请记住,如果您指示Xray使用外部数据库,则您可以完全控制数据库,并全权负责维护和备份数据库以供Xray使用。

解决问题

  1. 改进了与Xray Update Center (XUC)初始DB同步的性能和时间。
  2. 修复了一个问题,即在许多情况下,当Docker远程存储库配置了块下载块未扫描工件设置时,Docker pull不能正常工作。
  3. 修正了影响分析过程由于堆栈溢出错误而无法正常工作的问题。
  4. 修复了由于多个受感染工件导致内存不足而导致影响分析停止运行的问题。
  5. 修正了一个问题,即x射线停止工作时索引RPM文件由于高内存消耗导致内存不足的问题。
  6. 修复了当工作数大于连接数时发生连接死锁的问题。
  7. 修正了一个手表的历史扫描会触发所有手表扫描的问题。
  8. 修正了一个问题,即在某些罕见的情况下,Artifactory将断开从x射线在定期许可证检查。
  9. 修正了在x射线中导出数据时,不同文件格式显示结果不一致的问题。JSONPDF,CSV在“?”中没有显示CVEPDFCSV文件。
  10. 修复了一个问题,即从Xray 2.0迁移到Xray 3.0后,存储的消息在迁移期间不能正确传递,并且在Xray 3.0中重试消息不能正常工作。
  11. 修复了由于字符限制而导致组件持久化无法工作的问题。
  12. 修正了在索引时发出无效内存地址或nil指针错误的问题去包在x光。
  13. 修复了一个问题,即工件摘要Rest API为不包含的组件返回问题响应ComponentID
  14. F修复了从数据库中获取所有手表会使数据库过载的问题。
  15. 修复了一个问题,即在安装时,初始x射线URL被不正确地定义为/ x光路径。
  16. 修复了在某些情况下索引NuGet包时添加空许可证的问题。
  17. 修复了一些Python包在Xray中无法正确索引的问题。

3.3 x光

发布:2020年4月22日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

功能增强

强制现有组件Rest API的完整索引

力重建索引Rest API命令允许您轻松地重新索引过去索引过的工件。如果您想重新扫描包含过去不支持但现在支持的包类型的工件,例如Go, Docker中的Python包或Alpine OS包,则此功能非常有用。

新增手动安装Linux归档文件

您现在可以使用Linux Archive安装程序来安装Xray,除了现有的选项之外,还可以对如何设置环境进行更多的控制。有关更多信息,请参见手动安装Linux归档文件

新增专用策略REST API V.2命令

Xray现在支持策略命令REST API1节2.V.2命令支持阻塞发布包,现在允许您通知Watch接收者和文件部署者。

解决问题

  1. 修复了一个问题,即所有在以前的Xray版本(Xray 1)中被弃用的伙伴关系集成。x和2.x),显示在UI的集成页面中。从3.3版开始,当升级到Xray 3时,不赞成的集成将自动删除。包括数据库中与已弃用的集成相关的所有漏洞。
  2. 修复了JSON安全报告中缺少CVE id的问题。
  3. 修复了在安全选项卡中按严重性排序组件漏洞时,所有漏洞都被标记为“高”严重性的问题。
  4. 修复了升级到Xray 3.2.0版本后,由于数据库迁移问题而无法启动Xray的问题。
  5. 修复了一个问题,即位于x射线数据|后代或祖先标签下的图形不显示Debian软件包。
  6. 修复了Gems包的影响分析无法正常运行的问题。
  7. 修复了当运行Get Policy REST API命令时,无论最小严重性定义为Low, Medium还是High,都会检索所有严重性的问题。
  8. 修复了DB同步没有对NuGet包执行影响分析的问题。
  9. 修复了一个问题,即配置带有Mime类型过滤器的Watch对。gz和。7z文件类型不起作用。
  10. 修复了在UI中无法将自定义问题分配给Debian软件包的问题。
  11. 改善了web加载监视和策略页面的性能。
  12. 运行Get Violations REST API命令从包含数百万条违规的数据库中检索特定手表的列表时,提高了性能。
  13. 改进了基于Distribution属性的Debian软件包漏洞检测,该属性是用户在Artifactory中部署Debian软件包到本地存储库时需要提供的。
  14. 修正了在更新包含以前在Artifactory中删除的存储库或构建的watch时产生错误的问题。存储库和构建现在在保存监视时自动删除。
  15. 修正了x射线服务器在NPM审计期间出现内存泄漏的问题。
  16. 修复了使用Xray运行NPM审计时的问题,这些漏洞是由Xray添加的,不可用链接到VulDB作为源。
  17. 修复了一个问题,即我们在扫描期间减少了PostgreSQL DB的负载。
  18. 修复了扫描Docker映像以查找可能受感染的JavaScript文件严重影响DB的问题。
  19. 修复了支持包返回的问题request.logs不包括x射线日志。
  20. 在HA环境中使用数千个表运行Update Watch REST API v.2命令时,性能得到了改进。
  21. 修正了在更新包含以前在Artifactory中删除的存储库或构建的watch时产生错误的问题。存储库和构建现在在保存监视时自动删除。

3.2 x光

x光3.2.3

上映时间:2020年3月30日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

解决问题

  1. 修正了x射线在尝试分配x射线试用许可时无法连接到Artifactory的问题。

x光3.2.0

上映时间:2020年2月23日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

解决问题

  1. 修正了由于用户组件许可证重复导致内存不足而导致x射线分析失败的问题。

3.0 x光

上映时间:2020年1月12日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

弃用功能
Xray 3.0引入了几个已弃用的特性。了解更多>
此外,还可以阅读一些目前超出范围的特性,这些特性将很快在即将发布的版本中提供。阅读更多>

突发的变化
查看x射线的重大变化列表了解更多>

REST API变更
查看Xray的REST API更改列表,点击这里>

重要的是:现在可以通过端口8082访问JFrog平台的web UI(例如:http://SERVER_HOSTNAME:8082/ui/)。通过端口8081直接访问REST API和下载Xray仍然是可能的。了解更多>

突出了

JFrog平台

宣布推出新的JFrog平台,旨在为开发人员和管理员提供跨所有JFrog产品的无缝DevOps体验,支持以下主要功能:hth华体会最新官方网站

  • 2022年世界杯预选赛赛程表通用包管理所有专业打包格式、构建工具和CI服务器。
  • 安全性和合规性它完全集成到JFrog平台中,为您从代码到产品的管道提供完全信任。
  • 大大简化了管理所有的配置都在一个地方。
  • 完全信任你的管道从代码到产品。
  • 无缝的DevOps体验从本地、云、混合或多云的选择。

JFrog平台的新功能

系统架构

Xray 3.0现在是JFrog平台部署(JPD)的一部分,JPD定义了所有JFrog产品共享的单个逻辑单元。hth华体会最新官方网站与JPD的x射线配对过程简化了,现在只需要URL和共享密钥(连接密钥)。了解更多>

x光system.yaml

这个版本引入了一个新的系统配置文件,允许在安装过程之前/之后在应用程序外部处理系统配置。了解更多>

安装与升级

Xray 3.0附带了一个新的安装程序,它会影响安装升级程序。作为新安装程序的一部分,文件结构发生了变化,现在与其他JFrog产品保持一致。hth华体会最新官方网站当升级到JFrog平台时,x射线必须只连接到一个Artifactory实例.如果您有一个Xray实例连接到多个Artifactory实例,在升级Artifactory和Xray之前,您需要将您的Xray实例拆分为多个实例来支持此需求。详见此处

其他增强功能:

  • 新的Docker安装程序已经得到了改进,现在支持设置x射线容器和映像的uid/gid。
  • 新的系统架构包括一个新的系统。Yaml配置,它提供了静默安装选项。
统一权限模型

此版本统一了所有JFrog产品权限,允许从一个统一的UI中更轻松地管理所有产品的权限。hth华体会最新官方网站通过统一权限模型,您可以创建一个适用于JFrog平台中安装的所有产品的单一权限目标。hth华体会最新官方网站由于产品在平台内是统hth华体会最新官方网站一的,因此您现在可以使用单个权限目标来控制所有产品的权限。了解更多>

统一用户界面

这个版本为整个JFrog平台(包括所有JFrog产品)引入了一个统一的新UI。hth华体会最新官方网站如果您正在使用Artifactory和其他JFrog产品,如JFrog Xray, JFrhth华体会最新官方网站og Distribution, JFrog Mission Control和JFrog Insights,您现在可以通过一个URL地址从单个UI中访问它们。x射线数据位于每个资源页面中,允许您快速查看扫描资源的状态-包,构建,工件或发布包。2022世界杯阿根廷预选赛赛程以查找Artifactory UI中的更改。了解更多>

日志记录

所有JFrog产品现hth华体会最新官方网站在都遵循标准化的日志记录格式和命名约定。了解更多>

功能增强

删除MongoDB数据库

不再需要Xray在统一平台之前使用的MongoDB数据库(数据迁移过程除外)。如果您要升级到新的JFrog平台,您的数据将自动迁移到PostgreSQL中升级过程

发行包扫描

除了扫描存储库和构建,统一平台现在允许Xray 3.0扫描发布包的漏洞和许可证遵从性。现在,您可以通过在发布包上定义策略和监视来保护您的发布。违反策略可能会阻止发布

使用模式配置索引资源2022世界杯阿根廷预选赛赛程

现在在配置x射线索引资源时具有更大的灵活性2022世界杯阿根廷预选赛赛程通过为构建和发布包使用排除或包含模式。

使用模式配置监视范围

现在,您在配置Watch资源范围时具有更大的灵活性2022世界杯阿根廷预选赛赛程通过名称或使用Exclude/Include模式。

专用的安全性和遵从性搜索经验

Xray 3.0引入了一个新的安全性和遵从性搜索,这是新的全球搜索经验在JFrog平台。您现在可以根据资源名称、CVE编号、许可证、严重级别和扫描日期范围搜索特定的漏洞和许可证遵从性信息。了解更多>

问题解决

  1. Xray现在收集Alpine组件和漏洞的“分支”信息。
  2. x射线现在在创建时显示被忽略的违例。
  3. x射线相关Docker基础映像的安全性改进。
  4. 修正了在某些情况下,组件中导出的x射线数据文件无法解压缩的问题。

x光3.0.13

上映时间:2020年2月17日

数据库同步已知问题

在所有当前的x射线3。x版本到Xray 3.6.2,你可能会遇到数据库同步进程卡住。要解决此问题,建议中止该进程并重试。要了解更多信息,请点击在这里

解决问题

  1. 修正了加载和显示漏洞和违规数据延长的问题。
  2. 修正了将自定义问题分配给后代组件失败的问题。
  3. 修复了Go包索引不正确的问题。
  4. 修复了中止DB同步不会删除旧zip包的问题。
  5. 修正了在某些情况下检测到带有漏洞的包时不会触发违规的问题。
  6. 修复了x射线错误检测Debian软件包名称的问题。
版权所有©2023 JFrog Ltd.